Des hôpitaux infestés de «mouchards»

Les principaux sites Web des hôpitaux du Québec, dont celui du CHUM et du CUSM, transmettent des données personnelles sensibles sur leurs visiteurs à des entreprises privées spécialisées dans l’analyse et le profilage des internautes, a découvert Le Devoir. La précision de certaines des informations collectées à l’insu des visiteurs et en toute discrétion peut compromettre leur vie privée en révélant leur état de santé ou des préoccupations en matière médicale à une tierce partie versée dans le marketing et la publicité en ligne.

La lecture fine du code de programmation de plusieurs sites Web de centres hospitaliers, réalisée par Le Devoir avec la contribution d’une poignée de programmeurs et d’informaticiens indépendants, a permis de révéler la présence dans ces espaces numériques de plusieurs « mouchards » — les anglophones les appellent des trackers — dont la fonction est d’enregistrer et de transmettre des détails sur l’internaute et sur ses visites sur les sites. Ces informations sont souvent anonymes et bénignes. Elles ciblent le modèle de l’ordinateur et le type de fureteur utilisé, le nombre de pages vues, le temps de consultation, le nom de son fournisseur d’accès à Internet… Elles permettent de comprendre et d’analyser les déplacements sur le site afin d’améliorer le service, d’organiser l’information diffusée de manière optimale, tout en facilitant la navigation pour le visiteur.

Mais plusieurs « mouchards » vont plus loin. Certains peuvent en effet s’approprier en douce l’historique de recherche de l’internaute, des données sur sa géolocalisation, le numéro unique identifiant son appareil portable, son numéro de téléphone, son adresse IP — marquant le point d’entrée unique d’une personne sur le réseau Internet —, mais également s’approprier des informations nominatives encore plus précises (nom, adresse postale, code postal, téléphone, date de naissance…) auprès d’un autre mouchard ayant pu être rencontré ailleurs sur le réseau par l’internaute. Les formulaires à remplir pour recevoir une information ou s’inscrire à un service sont généralement de bons « tamis » permettant de collecter dans le flot de données circulant en ligne ce type de données nominatives.

Profilage médical

Ces mouchards ont été trouvés sur les sites Web du Centre hospitalier de l’Université de Montréal (CHUM), du Centre universitaire de santé McGill (CUSM), du Centre hospitalier universitaire de Québec (CHUQ), de l’Hôpital de Montréal pour enfants et du Centre hospitalier universitaire Sainte-Justine. Ils sont liés à des entreprises, souvent américaines comme Google, AOL, Datalogix, BlueKai, DoubleClick, Addthis — pour ne citer qu’elles —, vendant des services d’analyse du trafic Internet pour faciliter la gestion d’un site Internet ou de profilage d’internautes dans une perspective publicitaire et commerciale.

Ils ouvrent tout grand la porte au profilage médical des internautes par croisement d’informations obtenues dans l’historique de leurs recherches passées sur Internet et l’ouverture de certaines pages liées à des services du centre hospitalier (oncologie, urologie, maternité…). La collecte de données nominatives, comme un numéro de téléphone, pourrait permettre de facilement mettre un nom et une adresse postale sur ce profil, et ainsi faciliter l’envoi de publicité ciblée, l’évaluation d’un dossier par une compagnie d’assurance ou toute autre activité de surveillance.

Entre les lignes

Le mouchard est dissimulé dans des lignes de code permettant, à titre d’exemple, d’afficher sur une page Web un module de partage d’une page avec des amis. Ce module est offert gratuitement aux développeurs d’un site Web, mais s’accompagne d’une contrepartie : la collecte tout aussi gratuite de données, parfois personnelles, revendues par la suite dans le monde du commerce en ligne.

La mécanique est complexe et se joue dans des pages de codes informatiques rendues volontairement nébuleuses par les propriétaires de ces mouchards afin de conserver une position concurrentielle. Les données personnelles captées par les mouchards sont envoyées sur des serveurs à l’étranger, a révélé l’analyse, en Californie, en Virginie, dans l’Oregon, mais également dans certains cas à Singapour où ces données ne sont alors plus assujetties aux lois canadiennes sur la protection de la vie privée. Elles peuvent être conservées par les « collecteurs » d’intimité entre 6 mois et 3 ans, et certaines avouent même les vendre à de tierces parties.

Lundi, la présence de ces mouchards n’était pas connue d’un des responsables du site Web du CHUM contacté par Le Devoir. La direction de l’hôpital ne serait pas non plus, selon lui, au courant de la présence de tels mécanismes de collecte de données personnelles, ces lignes de codes ayant été placées là par une entreprise externe chargée du développement du site il y a près d’un an, a-t-on indiqué au Devoir, sans plus de détails. Malgré nos appels, il n’a pas été possible de parler au responsable du site du CUSM.

« Ces mouchards permettent en théorie de collecter beaucoup d’information, mais il est difficile de savoir en quelle quantité ou pour quel usage précis, dit Jacques Berger, chargé de cours au département d'informatique de l'UQAM. Ils s’inscrivent dans un environnement informatique de plus en plus complexe où il est de plus en plus difficile d’avoir un portrait précis et clair des informations qu’on livre sans le savoir en allant chercher de l’information sur le réseau. »

Selon lui, ces mouchards sont installés bien souvent sans malice par des développeurs à la recherche de solutions faciles et simples pour l’affichage et l’organisation de l’information sur un site Web. Ces mouchards participent à une nouvelle économie numérique dans laquelle la gratuité d’un produit ou d’un service se paie désormais en données personnelles collectées à des fins commerciales, y compris sur des sites gouvernementaux consacrés à la santé.

11 commentaires
  • Denis Paquette - Abonné 5 mai 2015 04 h 01

    Jusqu'a la centième génération

    Avec la nouvelle culture est-ce que ce n'était pas prévisible et je crois que si nous n'y voyons pas, nous sommes qu'au début de ce phénomène, dans quelques années des bavards il en aura partout, dans votre résidence, dans votre voiture, lorsque vous faites vos courses, prenez vos vacances, etc. la question importante est-ce que c'est ce que nous voulons, ne nous trompons pas big brother c'est le commerce tout azimut et l'appât du gain, est ce que vous croyez que les grands prédateurs vont laisser tomber le morceau, les champs qui les interessent, c'est vous, c'est moi jusqu'a la centième génération

  • Marcel (Fafouin) Blais - Abonné 5 mai 2015 05 h 50

    Embarrassant et déconcertant !

    « Ce module est offert gratuitement aux développeurs d’un site Web, mais » (Fabien Deglise, Le Devoir)

    Embarrassant et déconcertant ! - 5 mai 2015 -

  • Samuel Ragot - Inscrit 5 mai 2015 08 h 02

    Paradoxalement, vous utilisez plus de mouchards sur votre propre site et dans vos courriels aux abonné-e-s (pixel de tracking invisible)...

    Pas moins de 5 mouchards publicitaires ou de tracking répertoriés sur le site du Devoir lors de la publication de ce commentaire. C'est quand même pas mal..!

    • Francis Renaud - Abonné 5 mai 2015 10 h 30

      Merci de cette info M. Ragot.

      Pour les éternels néofites du web comme moi qui sommes incapables d'identifier clairement un de ces "mouchards", cela devient troublant de constater qu'il y en a même ici, sur un site que je considère pourtant respectable... C'est désolant !!

      Il faut une loi claire et restrictive en ce sens et les moyens nécessaire pour la faire appliquer. J'en tiendrai compte lors de mon prochain vote... et je serai très prudent lors de mes achats en lignes. Merci

    • Georges Tissot - Abonné 5 mai 2015 11 h 08

      J' ai identifié 7 mouchards !!!

    • Samuel Ragot - Inscrit 6 mai 2015 13 h 41

      De façon très simple, vous pouvez utiliser des logiciels comme Ghostery à ajouter dans votre navigateur pour bloquer ces mouchards.

      Cela se fait automatiquement par le logiciel et est invisible.

    • André Bastien - Abonné 6 mai 2015 23 h 23

      Puis c'est Ghostery qui prend ainsi le monopole de la collecte de vos données?

  • Jean-Guy Aubé - Abonné 5 mai 2015 08 h 45

    délateurs électroniques

    En prison, les délateurs au service de la police se font souvent poignarder de façon anonyme et sans regret par leurs co-détenus. Avec les mouchards électroniques, le peuple ne peu plus exercer cette forme de vengeance. La vengeance se situe au niveau des virus qui paralysent les sites webs mais cela n'annule pas les dommages causés par ces "cookies".

  • Robert Beauchamp - Abonné 5 mai 2015 09 h 35

    À qui ça paie?

    Profilage médical. Alors pourquoi les hôpitaux sinon pour établir les services offerts à partir de la demande en vue de la privatisation de services? Qui a intérête et avec l'aide de qui?
    Robert Beauchamp